Golang JWT身份验证核心是登录发Token、请求带Token、中间件验Token三步闭环;需保障密钥安全、合理设置过期时间、健壮解析逻辑,并通过中间件统一校验、角色权限控制、Refresh Token机制及Redis黑名单等增强安全性。
Golang后端API实现JWT身份验证,核心是“登录发Token、请求带Token、中间件验Token”三步闭环。关键不在加密多复杂,而在签名密钥安全、过期控制得当、解析逻辑健壮。
登录接口生成Token
用户提交账号密码后,校验通过即生成JWT并返回。推荐使用 github.com/golang-jwt/jwt/v5(官方维护,替代已归档的 dgrijalva/jwt-go):
- 定义结构体继承
jwt.RegisteredClaims,加入自定义字段如UserID、Role - 设置
ExpiresAt字段(Unix时间戳),避免用字符串或本地时间误算 - 用强随机密钥签名,不要硬编码
"secret",建议从环境变量加载 - Token建议放在 HTTP 响应头(如
Authorization: Bearer xxx)或响应体 JSON 中,前端统一读取
中间件统一校验Token
所有需认证的路由前加 Gin 或 net/http 中间件,提取并验证 Token:
- 从
Authorization请求头中提取 Bearer 后的字符串(注意空格分割) - 调
用 jwt.ParseWithClaims,传入密钥函数(返回密钥字节切片)和自定义 claims 类型 - 检查错误类型:
jwt.ErrSignatureInvalid(密钥错)、jwt.ErrExpired(过期)、jwt.ErrTokenMalformed(格式错) - 验证通过后,把用户信息(如 UserID)写入
c.Set("user_id", uid),供后续 handler 使用
用 权限控制与刷新策略
Token 验证只是起点,业务还需分层控制:
- 简单角色判断:在 claims 中存
"role": "admin",中间件里读取并跳过非授权路径 - 敏感操作二次校验:如删除订单,即使有 Token,仍查 DB 确认该用户是否拥有该资源权限
- 避免长时效 Token:生产环境建议设为 15–60 分钟;配合 Refresh Token 机制(单独存储、短过期、单次有效)延长会话
- 登出处理:JWT 本身无状态,无法主动失效;可用 Redis 缓存黑名单(jti + 过期时间),或依赖短过期+前端清空本地存储
安全与调试要点
容易忽略但影响上线稳定性的细节:
- 密钥长度至少 32 字节,避免被暴力破解;HS256 足够多数场景,高要求可选 RSA(公私钥分离)
- 禁止在 URL 参数传 Token(易泄露到日志、代理、Referer)
- 开发时打印完整错误日志,上线后屏蔽敏感信息(如密钥路径、原始 token)
- 用
time.Now().UTC()统一时区,防止服务器时间偏差导致误判过期
